当使用 Fetch API(实际上，通过 fetch polyfill)时，我无法让 Safari 从服务器响应中成功应用 Set-Cookie。相同的代码在 FF 和 Chrome 中都能正常工作(我使用 native 和 polyfill fetch 进行了测试)。

1. 请求是跨域的；
2. 是的，我正在设置 credentials: true;
3. 服务器确实以 Set-Cookie header 响应；
4. 后续请求从 Chrome 和 FF 发送带有 cookie 请求 header ，但 Safari 不发送；
5. 请求使用 HTTPS(证书是自签名的并且在开发域上，但它似乎在常规请求中被 Safari 接受)；和

有人知道问题出在哪里吗？

我已通读文档并浏览了许多 closed bug reports .除非我遗漏了什么，否则我认为问题可能出在 'default browser behaviour' 上。处理 cookie 和 CORS——而不是 fetch(阅读 polyfill 源代码，似乎 100% 不知道 cookie)。一些错误报告表明格式错误的服务器响应可能会阻止保存 cookie。

我的代码是这样的:

function buildFetch(url, init={}) {
    let headers = Object.assign({}, init.headers || {}, {'Content-Type': 'application/json'});
    let params = Object.assign({}, init, { credentials: 'include', headers });

    return fetch(`${baseUrl}${url}`, params);
}

buildFetch('/remote/connect', {method: 'PUT', body: JSON.stringify({ code })})
.then(response => response.json())
.then(/* complete authentication */)

实际授权请求如下。我正在使用 cURL 获取准确的请求/响应数据，因为 Safari 很难复制/粘贴它。

curl 'https://mydevserver:8443/api/v1/remote/connect' \
-v \
-XPUT \
-H 'Content-Type: application/json' \
-H 'Referer: http://localhost:3002/' \
-H 'Origin: http://localhost:3002' \
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/602.4.8 (KHTML, like Gecko) Version/10.0.3 Safari/602.4.8' \
--data-binary '{"token":"value"}'


*   Trying 127.0.0.1...
* Connected to mydevserver (127.0.0.1) port 8443 (#0)
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
* Server certificate: mydevserver
> PUT /api/v1/remote/connect HTTP/1.1
> Host: mydevserver:8443
> Accept: */*
> Content-Type: application/json
> Referer: http://localhost:3002/
> Origin: http://localhost:3002
> User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/602.4.8 (KHTML, like Gecko) Version/10.0.3 Safari/602.4.8
> Content-Length: 15
> 
* upload completely sent off: 15 out of 15 bytes
< HTTP/1.1 200 OK
< Access-Control-Allow-Origin: http://localhost:3002
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Api-Key, Device-Key
< Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
< Access-Control-Expose-Headers: Date
< Content-Type: application/json; charset=utf-8
< Content-Length: 37
< Set-Cookie: express:sess=[SESSIONKEY]=; path=/; expires=Fri, 17 Feb 2017 15:30:01 GMT; secure; httponly
< Set-Cookie: express:sess.sig=[SIGNATURE]; path=/; expires=Fri, 17 Feb 2017 15:30:01 GMT; secure; httponly
< Date: Fri, 17 Feb 2017 14:30:01 GMT
< Connection: keep-alive
< 
* Connection #0 to host mydevserver left intact
{"some":"normal","response":"payload"}

最佳答案

回答我自己的问题。

虽然我理解他们的动机，但我发现这是 Safari 的“按预期工作”的行为，这让我非常愤怒。 XHR(想必native fetch 落地的时候也是native)根本不支持第三方cookies的设置。这种失败是完全透明的，因为它是由浏览器在脚本上下文之外处理的，因此基于客户端的解决方案实际上是不可能的。

您会在此处找到一个推荐的解决方案，即在 API 服务器上打开一个 HTML 页面的窗口或 iframe，并在那里设置一个 cookie。此时，第 3 方 cookie 将开始工作。这非常糟糕，并且不能保证 Safari 不会在某个时候弥补这个漏洞。

我的解决方案基本上是重新实现一个身份验证系统，该系统执行 session cookie 的功能。即:

1. 添加一个新的 header ，X-Auth: [token]，其中 [token] 是一个非常小的短期 JWT，其中包含您需要的信息 session (理想情况下只有用户 ID——在应用程序的生命周期内不太可能发生变化的东西——但如果权限可以在 session 期间更改，则绝对不是权限之类的东西)；
2. 将X-Auth添加到Access-Control-Allow-Headers；
3. 在登录期间，使用您需要的有效负载设置 session cookie 和身份验证 token (Safari 和非 Safari 用户都将获得 cookie 和身份验证 header )；
4. 在客户端上，查找 X-Token 响应 header ，并在任何时候将其作为 X-Token 请求 header 回显(您可以实现持久化通过使用本地存储—— token 会过期，因此即使值(value)存在多年，也无法在某个时间点后赎回)；
5. 在服务器上，对于所有对 protected 资源的请求，检查 cookie 并在存在时使用它；
6. 否则(如果 cookie 不存在——因为 Safari 没有发送它)，查找 header token ，验证和解码 token 负载，使用提供的信息更新当前 session ，然后生成一个新的身份验证 token 和将其添加到响应 header ；
7. 照常进行。

请注意，JWT(或任何类似的东西)旨在解决一个完全不同的问题，并且由于“重播”问题，真的不应该用于 session 管理(想想如果用户打开两个窗口会发生什么 header 状态)。然而，在这种情况下，它们提供了您通常需要的短暂性和安全性。底线是您应该在支持它们的浏览器上使用 cookie，使 session 信息尽可能小，使您的 JWT 尽可能短，并构建您的服务器应用程序以应对意外和恶意重放攻击。

关于javascript - Safari 不使用 JS Fetch API 设置 CORS cookie，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/42301884/